Schlagwortarchiv für: Schwachstellentests

Markus Feilner

Kommunen, Behörden und Unternehmen unter Druck: Schwere Angriffe nehmen zu, NIS2 wird Vorschrift

Nachdem Experten bereits 2023 einen rapiden Zuwachs bei Cyberangriffen auf Kommunen und Behörden feststellen mussten, hören die Schreckensmeldungen auch 2024 nicht auf. Der Handlungsdruck ist enorm, denn ab Oktober tritt die NIS2-Richtline der EU in Kraft und macht Risiko- und Schwachstellenmanagement zur Pflicht.

„Die Gefährdungslage ist so hoch wie nie“ sagt die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner bei der Bitkom Anfang März. Die Frage sei nicht, ob ein Angriff erfolgreich ist, sondern nur wann. Auch die jährlichen Berichte des BSI, zum Beispiel der jüngste Report von 2023 sprächen da Bände. Auffällig sei aber, so Plattner, wie oft Kommunen, Krankenhäuser und andere öffentliche Institutionen im Mittelpunkt der Angriffe stünden. Aber es gebe „kein Maßnahmen- sondern ein Umsetzungsproblem in den Unternehmen und Behörden“.  Klar ist: Schwachstellenmanagement wie das von Greenbone kann dabei schützen und helfen, das Schlimmste zu vermeiden.

US-Behörden durch chinesische Hacker unterwandert

Angesichts der zahlreichen gravierenden Sicherheitsvorfälle wird das Schwachstellenmanagement von Jahr zu Jahr wichtiger. Knapp 70 neue Sicherheitslücken kamen in den letzten Monaten täglich hinzu. Einige von Ihnen öffneten tief in US-Behörden hinein Tür und Tor für Angreifer, wie im Greenbone Enterprise Blog berichtet:

Über gravierende Sicherheitslücken waren US-Behörden Medien zufolge seit Jahren durch chinesische Hackergruppen wie die wohl staatlich gesponserte „Volt Typhoon“ unterwandert. Dass Volt Typhoon und ähnliche Gruppierungen ein großes Problem sind, bestätigte sogar Microsoft selbst in einem Blog bereits im Mai 2023. Doch damit nicht genug: „Volt Typhoon macht sich die reichlich auftretenden Sicherheitslücken in VPN-Gateways und Routern der Marken FortiNet, Ivanti, Netgear, Citrix und Cisco zunutze. Diese gelten derzeit als besonders verwundbar“, war bei Heise zu lesen.

Dass der Quasi-Monopolist bei Office, Groupware, Betriebssystemen und diversen Clouddiensten 2023 auch noch zugeben musste, dass er sich den Masterkey für große Teile seiner Microsoft-Cloud hat stehlen lassen, zerstörte das Vertrauen in den Redmonder Softwarehersteller vielerorts. Wer diesen Key besitzt, braucht keine Backdoor mehr für Microsoft-Systeme, schreibt Heise. Vermutet werden hierbei ebenfalls chinesische Hacker.

Softwarehersteller und -Lieferanten

Die Lieferkette für Softwarehersteller steht nicht erst seit log4j oder dem Europäischen Cyber Resilience Act unter besonderer Beobachtung bei Herstellern und Anwendern. Auch das jüngste Beispiel um den Angriff auf den XZ-Komprimierungsalgorithmus in Linux zeigt die Verwundbarkeit von Herstellern. Bei der „#xzbackdoor“ hatte eine Kombination aus purem Zufall und den Aktivitäten von Andres Freund, ein sehr an Performance orientierter, deutscher Entwickler von Open-Source-Software für Microsoft, das Schlimmste verhindert.

Hier tat sich ein Abgrund auf: Nur dank der Open-Source-Entwicklung und einer gemeinsamen Anstrengung der Community kam heraus, dass Akteure über Jahre hinweg mit hoher krimineller Energie und mit Methoden, die sonst eher von Geheimdiensten zu erwarten sind, wechselnde Fake-Namen mit diversen Accounts benutzt hatten. Ohne oder mit nur wenig Benutzerhistorie bedienten sie sich ausgeprägter sozialer Betrugsmaschen, nutzen die notorische Überlastung von Betreibern aus und erschlichen sich das Vertrauen von freien Entwicklern. So gelang es ihnen, fast unbemerkt Schadcode in Software einzubringen. Nur dem Performance-Interesse von Freund war es schließlich zu verdanken, dass der Angriff aufflog und der Versuch scheiterte, eine Hintertür in ein Tool einzubauen.

US-Offizielle sehen auch in diesem Fall Behörden und Institutionen besonders bedroht, selbst wenn der Angriff eher ungezielt, für den massenhaften Einsatz ausgerichtet zu sein scheint. Das Thema ist komplex und noch lange nicht ausgestanden, geschweige denn vollumfänglich verstanden. Sicher ist nur: Die Usernamen der Accounts, die die Angreifer verwendet haben, waren bewusst gefälscht. Wir werden im Greenbone Blog weiter darüber berichten.

Europäische Gesetzgeber reagieren

Schwachstellenmanagement kann solche Angriffe nicht verhindern, aber es leistet unverzichtbare Dienste, indem es Administratoren proaktiv warnt und alarmiert, sobald ein derartiger Angriff bekannt wird – und dies meist, noch bevor ein Angreifer Systeme kompromittieren konnte. Angesichts aller Schwierigkeiten und dramatischen Vorfälle überrascht es nicht, dass auch Gesetzgeber die Größe des Problems erkannt haben und das Schwachstellenmanagement zum Standard und zur Best Practice in mehr und mehr Szenarien erklären.

Gesetze und Regulierungen wie die neue NIS2-Richtline der EU schreiben den Einsatz von Schwachstellenmanagement zwingend vor, auch in der Software-Lieferkette. Selbst wenn NIS2 eigentlich nur für etwa 180.000 Organisationen und Unternehmen der Kritischen Infrastruktur (KRITIS) beziehungsweise „besonders wichtige“ oder „bedeutende“ Unternehmen Europas gilt, sind die Regulierungen grundsätzlich sinnvoll – und ab Oktober Pflicht. Die „Betreiber wesentlicher Dienste“, betont die EU-Kommission, „müssen geeignete Sicherheitsmaßnahmen ergreifen und die zuständigen nationalen Behörden über schwerwiegende Vorfälle informieren. Wichtige Anbieter digitaler Dienste wie Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze müssen die Sicherheits- und Benachrichtigungsanforderungen der Richtlinie erfüllen.“

Ab Oktober vorgeschrieben: Ein„Minimum an Cyber-Security-Maßnahmen“

Die „Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2)“ zwingt Unternehmen der europäischen Gemeinschaft, einen „Benchmark eines Minimums an Cyber-Security-Maßnahmen zu implementieren“, darunter auch Risikomanagement, Weiterbildung, Policies und Prozeduren, auch und gerade in der Zusammenarbeit mit Software-Lieferanten. In Deutschland sollen die Bundesländer die genaue Umsetzung der NIS2-Regelungen definieren.

Haben Sie Fragen zu NIS2, dem Cyber Resilience Act (CRA), zu Schwachstellenmanagement allgemein oder den beschriebenen Sicherheitsvorfällen? Schreiben Sie uns! Wir freuen uns darauf, mit Ihnen zusammen, die richtige Compliance-Lösung zu finden und Ihrer IT-Infrastruktur den Schutz zu geben, den sie heute angesichts der schweren Angriffe benötigt.


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

CISA warnt vor schwerer Sicherheitslücke in MS Sharepoint

Zwei Sicherheitslücken in Sharepoint, beide aus dem vergangenen Jahr, bereiten Sharepoint-Administratoren derzeit Kopfzerbrechen. Weil Angreifer eine Kombination aus den beiden Schwachstellen zunehmend häufiger ausnutzen, warnt jetzt auch die Cybersecurity Infrastructure Security Agency CISA. Betroffene Kunden des Greenbone Enterprise Feed werden bereits seit Juni 2023 gewarnt.

Tracking-News: Critical Vunerability in MS Sharepoint

Remote Priviledge Execution

Die beiden Schwachstellen CVE-2023-29357 und CVE-2023-24955 zusammen erlauben es Angreifern, aus der Ferne Administratorenrechte im Sharepoint-Server eines Unternehmens zu erlangen. Details über den Angriff wurden bereits im September 2023 auf der Pwn2Own-Konferenz in Vancouver 2023 veröffentlicht und finden sich beispielsweise im Blog der Singapur Starlabs.

Massive Angriffe führten jetzt dazu, dass die CISA jüngst eine Warnung zu diesen Lücken aussprach und die CVE-2023-29357 in ihren Katalog der bekannten Exploited Vulnerabilities aufnahm. Greenbone hat jedoch bereits seit etwa Juni 2023 authentifizierte Versionsprüfungen für beide CVEs und seit Oktober 2023 auch eine aktive Prüfung für CVE-2023-29357. Kunden der Enterprise-Produkte haben diese CVEs bereits seit mehreren Monaten als Bedrohung gemeldet bekommen – im authentifizierten und unauthentifizierten Scan-Modus.

Microsoft rät seinen Kunden auf seiner Webseite zum Update auf die SharePoint Server 2019 Version vom 13 Juni 2023, (KB5002402), die fünf kritische Lücken behebt, darunter auch die erste von der CISA genannte CVE. Ferner sollten alle Administratoren die Installation der Antivirensoftware AMSI durchführen und Microsoft Defender im Sharepoint-Server aktivieren. Anderenfalls könnten Angreifer die Authentifizierung mit gefälschten Authentifizierungstoken umgehen und sich Administratorrechte verschaffen.

Das frühzeitige Erkennen und Erfassen von Schwachstellen im Unternehmen ist ein wichtig, wie die vielen Meldungen über schädigende Schwachstellen belegen. Hier können die Greenbone-Produkte viel Arbeit abnehmen und für Sicherheit sorgen – als Hardware- oder virtuelle Appliance oder als Cloud-Dienst. Der Greenbone Enterprise Feed, aus dem sich alle Sicherheitsprodukte Greenbones speisen, erhält tägliche Updates und deckt damit einen hohen Prozentsatz der Risiken ab.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

Tracking-News: Juniper Junos-Schwachstellen

5 bekannte Juniper Junos-Schwachstellen, die aktiv ausgenutzt werden können

Die CISA hat 5 CVEs im Zusammenhang mit Juniper Junos (auch bekannt als Junos OS) in ihren Katalog der bekannten ausgenutzten Sicherheitslücken (KEV) aufgenommen. Die vollständige Exploit-Kette umfasst die Kombination mehrerer CVEs mit geringerem Schweregrad, um eine Remotecodeausführung (RCE) vor der Authentifizierung zu erreichen. Die 5 CVEs reichen in ihrem Schweregrad von CVSS 9.8 Critical bis CVSS 5.3 Medium. Die Greenbone Enterprise Appliances enthalten Schwachstellentests, die betroffene Systeme identifizieren können.

Das Verständnis des zeitlichen Ablaufs der Ereignisse sollte Netzwerkverteidigern helfen, zu begreifen, wie schnell Cyberbedrohungen eskalieren können. In diesem Fall wurde ein Proof-of-Concept (PoC) nur 8 Tage nach der Veröffentlichung des Sicherheitshinweises des Herstellers Juniper veröffentlicht. Sicherheitsforscher beobachteten nur 12 Tage nach der Veröffentlichung einen aktiven Angriff. Doch erst mehrere Monate später bestätigte die CISA die aktive Ausnutzung der Schwachstelle. Die Entwickler von Greenbone fügten bereits am 18. August 2023, unmittelbar nach der Veröffentlichung, Erkennungstests [1][2] für alle betroffenen Versionen der beiden betroffenen Produktreihen (Ethernet-Switches der EX-Serie und Service-Gateways der SRX-Serie zum Greenbone Enterprise Feed hinzu.

Hier finden Sie eine kurze Beschreibung der einzelnen CVEs:

  • CVE-2023-36844 (CVSS 5.3 Medium): Eine PHP-External-Variable-Modification [CWE-473]-Schwachstelle besteht in J-Web, einem Tool, das für die Fernkonfiguration und -verwaltung von Junos OS verwendet wird. Die Schwachstelle ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, sensible PHP-Umgebungsvariablen zu verändern. CVE-2023-36844 ermöglicht die Verkettung mit anderen Schwachstellen, die zu einem nicht authentifizierten RCE führen.
  • CVE-2023-36845 (CVSS 9.8 Kritisch): Eine PHP-External-Variable-Modification-Schwachstelle [CWE-473] in J-Web ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, Code aus der Ferne auszuführen. Mit einer manipulierten Anfrage, die die Variable PHPRC setzt, kann ein Angreifer die PHP-Ausführungsumgebung ändern, um Code einzuschleusen und auszuführen.
  • CVE-2023-36846 (CVSS 5.3 Medium): Eine fehlende Authentifizierung für eine kritische Funktion [CWE-306] in Juniper Networks Junos OS ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, die Integrität des Dateisystems mit einer bestimmten Anfrage an user.php über J-Web zu beeinflussen. Ohne Authentifizierung ist ein Angreifer in der Lage, beliebige Dateien hochzuladen [CWE-434], was eine Verkettung mit anderen Schwachstellen einschließlich nicht authentifiziertem RCE ermöglicht.
  • CVE-2023-36847 (CVSS 5.3 Medium): Eine Schwachstelle in Juniper Networks Junos OS mit fehlender Authentifizierung für kritische Funktionen [CWE-306] ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, die Integrität des Dateisystems zu beeinflussen. Mit einer böswilligen Anfrage an installAppPackage.php über J-Web kann ein Angreifer beliebige Dateien [CWE-434] ohne Authentifizierung hochladen, was eine Verkettung mit anderen Schwachstellen ermöglichen kann, die zu RCE führen.
  • CVE-2023-36851 (CVSS 5.3 Medium): Eine Schwachstelle in Juniper Networks Junos OS mit fehlender Authentifizierung für kritische Funktionen [CWE-306] ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, die Integrität des Dateisystems zu beeinflussen. Mit einer speziellen Anfrage an webauth_operation.php, die keine Authentifizierung erfordert, ist ein Angreifer in der Lage, beliebige Dateien über J-Web [CWE-434] hochzuladen, was zu einem Verlust der Integrität eines bestimmten Teils des Dateisystems und zu einer Verkettung mit anderen Sicherheitslücken führt.

Verstehen des Angriffsverlaufs

Mehrere der oben aufgeführten CVEs sind als Schwachstellen mit fehlender Authentifizierung für kritische Funktionen [CWE-306] klassifiziert, was bedeutet, dass verschiedene Funktionen der Webanwendung zur Geräteverwaltung von J-Web keine ordnungsgemäßen Authentifizierungsprüfungen implementieren.

Im Folgenden wird zusammengefasst, wie diese Schwachstellen zu einem nicht authentifizierten RCE zusammengefügt wurden:

Die J-Web-Anwendung ist in PHP geschrieben, das, wie die WatchTowr-Forscher feststellten, für seine Benutzerfreundlichkeit auf Kosten der Sicherheit bekannt ist. Im Fall von CVE-2023-36846 implementierte die Datei „webauth_operation.php“ von J-Web eine andere Methode zur Authentifizierung als der Rest der Anwendung. Diese Datei ruft stattdessen die Funktion „sajax_handle_client_request()“ auf und übergibt den Wert „false“ als Parameter „doauth“, was dazu führt, dass keine Authentifizierung durchgeführt wird. Die oben erwähnte Funktion ’sajax_handle_client_request()‘ dient dazu, die in J-Web integrierten Funktionen auszuführen, indem sie als $_POST-Variable angegeben werden, einschließlich der Funktion ‚do_upload()‘, die zum Hochladen von Dateien verwendet wird.

CVE-2023-36845 ist eine Schwachstelle im Junos-Webserver, die es ermöglicht, Systemumgebungsvariablen über das Feld ’name‘ einer HTTP-POST-Anforderung zu setzen, wenn ein ‚Content-Type: multipart/form-data‘-Header verwendet wird. Zwei Exploits, die der Beschreibung von CVE-2023-36845 entsprechen, wurden zuvor für den GoAhead-IoT-Webserver offengelegt und als CVE-2017-17562 und CVE-2021-42342 verfolgt, was darauf hindeutet, dass der Junos-Webserver wahrscheinlich den proprietären GoAhead-Webserver implementiert.

Das Ausführen der hochgeladenen Datei ist möglich, indem die Umgebungsvariable PHPRC gesetzt wird, mit der eine nicht autorisierte PHP-Konfigurationsdatei „php.ini“ geladen wird, die ebenfalls über CVE-2023-36846 hochgeladen wurde und eine bösartige „auto_prepend_file“-Einstellung enthält, die PHP anweist, die erste hochgeladene Datei jedes Mal auszuführen, wenn eine Seite geladen wird. Hier ist die vollständige Beispielkette.

Abschwächung der jüngsten Juniper Junos-Schwachstellen

Die 5 neuen CVEs betreffen Juniper Networks Junos OS auf Ethernet-Switches der EX-Serie und Service-Gateways der SRX-Serie. Konkret handelt es sich um Junos OS Version 20.4 und früher, 21.1, 21.2, 21.3, 21.4, 22.1, 22.2, 22.3, 22.4 und 23.2 auf den Geräten der EX- und SRX-Serie.

Die beste Abhilfemaßnahme ist die Installation der Sicherheitspatches für Junos OS. Wenn Sie die offiziell bereitgestellten Sicherheitspatches nicht installieren können, können Sie die J-Web-Schnittstelle vollständig deaktivieren oder Firewalls mit einer Akzeptanzliste konfigurieren, um den Zugriff nur auf vertrauenswürdige Hosts zu beschränken, um einen Missbrauch zu verhindern. Generell kann die strikte Beschränkung des Zugriffs auf kritische Server und Netzwerk-Appliances auf Client-IP-Adressen, die Zugriff benötigen, die Ausnutzung ähnlicher, noch nicht entdeckter, aus der Ferne ausnutzbarer Zero-Day-Schwachstellen verhindern.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

BSI warnt: Log4J bleibt weiter ein Problem

Auch mehr als zwei Jahre nach Bekanntwerden der ersten Probleme mit Log4j betreiben viele Szenarien offensichtlich immer noch ungepatchte Versionen der Logging-Bibliothek.

Greenbones Produkte helfen – gerade beim Aufspüren von veralteter Software.

Niemand sollte Log4j als erledigt auf die leichte Schulter nehmen, nur weil die Sicherheitslücke (CVE 2021-44228) eigentlich seit anderthalb Jahren behoben ist. Das ist das Fazit einer Veranstaltung Ende März, in der das Bundesamt für Sicherheit in der Informationstechnik (BSI) eindringlich warnt. Die Schwachstelle betraf Log4j in den Versionen 2.0 bis 2.14.1 und erlaubte es Angreifern, eigenen Programmcode auf Zielsystemen auszuführen und fremde Server zu kompromittieren.

Unter dem Titel „Log4j & Consequences“ in der Reihe „BuntesBugBounty“ sprach das BSI mit Christian Grobmeier aus dem Log4j Team und Brian Behlendorf von der Open Source Security Foundation (OpenSSF). Erschreckenderweise addieren sich auf der Log4j-Webseite immer noch mehr als ein Drittel der Downloads auf veraltete Versionen, die den wichtigen Patch nicht beinhalten – es ist davon auszugehen, dass zahlreiche Systeme in Unternehmen immer noch verwundbar sind.

Schuld daran sei überwiegend Software Dritter, die Log4j einbette oder diese über Softwareverteilung integriere – was Grobmeier ganz und gar nicht überrascht, denn so funktioniere die Lieferkette bei Open-Source-Software nun mal. Daran, so der Log4J-Entwickler, lasse sich so schnell auch nichts ändern.

Das bestätigt auch die Open SSF: Für Behlendorf könnte nur eine verschärfte Haftung für Softwarehersteller hilfreich sein, so wie diese in den USA bereits erwogen werde. Ohne grundlegend neue Ansätze dürfte sich an den Problemen nichts ändern.

Wer sich dennoch dauerhaft vor Angriffen auf bekannten, bereits gepatchten Schwachstellen schützen will, sollte sich die Produkte von Greenbone ansehen. Nur das professionelle Schwachstellenmanagement gibt Administratoren den Überblick über veraltete Softwareversionen und ungepatchte Lücken in den Systemen der Firma – und schafft so die Grundlage für weitere Sicherheitsmaßnahmen.

Die Entwicklung von Schwachstellentests ist bei Greenbone eine Schlüsselaktivität und ein kontinuierlicher Prozess, der die hohe Qualität der Produkte und damit den hohen Nutzen für die Kunden sicherstellt. Sicherheitsprüfungen erfolgen jeden Tag und Schwachstellentests werden nach Sicherheitslage priorisiert und ebenfalls täglich in die Produkte integriert. Bei kritischen Sicherheitswarnungen, wie bei Log4j, berichtet Greenbone über den aktuellen Stand, die Fakten und dem Umgang damit, wie beispielsweise in den Blogbeiträgen über Log4j.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

Orange Security Report: Viele alte Schwachstellen noch offen

Laut der neuesten Studie von Orange Security waren 13 Prozent der Schwachstellen, die in heutigen Unternehmensnetzen gefunden werden, schon 2012 bekannt, fast die Hälfte aller Lücken ist älter als fünf Jahre – Tendenz zunehmend. Abhilfe kann professionelles Schwachstellenmanagement wie die Greenbone Produktfamilie schaffen.

Der Orange Security Navigator nimmt sich jedes Jahr auf vielen Seiten die aktuelle Bedrohungslage vor. In der neuesten Ausgabe kommt der Hersteller von Sicherheitssoftware zu erstaunlichen Einsichten hinsichtlich des Alters der Schwachstellen in Unternehmen. Die ältesten Risiken bestünden schon seit 20 Jahren oder mehr, schreibt Orange, und auch das Patchen lasse immer länger auf sich warten.

Auch jüngst füllten eigentlich schon lange gefixte Probleme die Schlagzeilen: Eine seit Jahren geschlossene Sicherheitslücke in VMWares ESXi-Server wurde aktiv von Angreifern ausgenutzt, laut Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden dabei tausende Server mit Ransomware infiziert und verschlüsselt – Details hier im Greenbone-Blog.

Auch Orange Security kann davon ein Lied singen: „Unsere Pentester finden Schwachstellen, die zuerst in 2010 identifiziert wurden, (…) [und] Probleme, deren Ursachen bis 1999 zurückreichen. (…) Das ist ein sehr besorgniserregendes Ergebnis.“ Im Falle des ESXi-Vorfalls war die Schwachstelle vom Hersteller bereits im Februar 2021 geschlossen worden, doch nicht alle Anwender hatten die notwendigen Updates eingespielt – genau hier helfen Greenbones Produkte, indem Sie aktiv Ihre Systeme nach bekannten, offenen Sicherheitslücken absuchen.

Das wird zunehmend wichtiger, weil auch laut Orange immer mehr kritische Lücken manchmal sechs Monate oder länger offenstehen, In den letzten Jahren sei die durchschnittliche Zeit bis zu einem Fix um 241 Prozent gestiegen. Immerhin gehe das Patchen bei schwerwiegenden Schwachstellen zwar im Durchschnitt um ein Drittel schneller als bei weniger kritischen Bedrohungen, Sorgen bereite aber die maximale notwendige Zeit, die bis zum Einspielen eines Patches verginge: Egal ob kritisch oder nicht, manche Patches einzuspielen dauert Jahre.

Nur ein Fünftel aller gefundenen Schwachstellen würden in weniger als 30 Tagen behoben, erklärt die Studie, 80 % stünden mehr als einen Monat offen. Im Durchschnitt dauere es ganze 215 Tage bis Lücken geschlossen werden. Von den Schwachstellen, die 1000 Tage auf einen Patch warten, seien 16% als schwerwiegend klassifiziert, drei Viertel von mittlerer Gefahr. Bei der ESXi-Lücke gab es seit zwei Jahren eine Warnung, eine Einstufung als hohes Risiko und auch einen Patch zur Fehlerbehebung. Trotzdem wurden eine Vielzahl von Organisationen durch Ausnutzung der Schwachstelle erfolgreich angegriffen.

Das Problem ist bekannt: Aufforderungen zum Beispiel der Datenschutz-Aufsichtsbehörden Schwachstellen- und Patchmanagement zu betreiben sind regelmäßig zu finden. „Mit Sorge blicke ich auf das Thema Informationssicherheit. Einerseits haben immer noch viele Organisationen ihre Hausaufgaben nicht gemacht, um bekannte Schwachstellen in IT-Systemen zu beseitigen – die Datenpannen-Meldungen zeigen uns, wie solche Sicherheitslücken immer wieder ausgenutzt werden und oft auch Daten abfließen können.“ Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, Februar 2022.

Bei der Cybersecurity stünden Unternehmen vor großen Herausforderungen: Jeden Tag würden mehr als 22 Schwachstellen mit CVE veröffentlicht, mit einem durchschnittlichen CVSS Score von 7 oder mehr. Ohne professionelles Schwachstellenmanagement sei das nicht mehr zu handhaben, erklärt auch Orange.

Umso wichtiger dabei ist das frühzeitige Erkennen und Erfassen von Schwachstellen im Unternehmen. Hier können die Greenbone-Produkte viel Arbeit abnehmen und für Sicherheit sorgen – als Hardware– oder virtuelle Appliance oder als Cloud-Dienst. Der Greenbone Enterprise Feed, aus dem sich alle Sicherheitsprodukte Greenbones speisen, erhält tägliche Updates und deckt damit einen hohen Prozentsatz der Risiken ab. Unsere Security Experten forschen seit über 10 Jahren an dem Thema, so dass wir Risiken auch in gewachsenen Strukturen erkennen können.

Schwachstellenmanagement ist ein unverzichtbarer Bestandteil der IT-Sicherheit. Es kann Risiken finden und liefert wertvolle Hinweise zu deren Behebung. Eine hundertprozentige Sicherheit jedoch gibt es nicht, und es gibt auch keine einzelne Maßnahme, die genügt, um das jeweilige Maximum an Sicherheit zu erreichen – Schwachstellenmanagement ist ein wichtiger Baustein. Erst die Gesamtheit der eingesetzten Systeme, zusammen mit umfassenden Datenschutz- und Cybersicherheitskonzepten ist die bestmögliche Sicherheit.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

ENISA-Studie: Öffentlicher Sektor am meisten gefährdet

In der zehnten Ausgabe ihrer ENISA Threat Landscape (ETL) warnt die Cybersecurity Agentur der EU ausdrücklich vor zunehmenden Gefahren durch Hackerangriffe auf öffentliche Einrichtungen.

Rund ein Viertel aller sicherheitsrelevanten Vorfälle zielen auf Einrichtungen der Verwaltung oder von Regierungen, berichtet die ENISA-Studie damit ist der öffentliche Sektor annähernd doppelt so stark bedroht wie Hoster und Provider, die mit 13 Prozent an zweiter Stelle liegen. Eine Infografik der Enisa Studie zeigt die gefährdeten Branchen hier. Mehr denn je sollten Anwender Ihre Netzwerke schützen – beispielsweise mit den Produkten von Greenbone.

An erster Stelle der Bedrohungen stünden immer noch erpresserische Ransomware-Angriffe, gefolgt von Malware und dem „Social Engineering“, wo Angreifende versuchen, via Telefon Passworte von Mitarbeitenden zu erfragen.

Die Geopolitik macht nicht vor dem öffentlichen RZ Halt

Allerdings hat sich in den letzten beiden Jahren einiges geändert – nicht zuletzt der Krieg in der Ukraine sorgte dafür, dass „geopolitische Aspekte einen deutlich größeren Einfluss“ auf die Bedrohungsszenarien haben, schreiben die ENISA-Autoren. Angriffe würden immer zerstörerischer, motiviert durch die kriegerische Auseinandersetzung und flankiert von gezielten Desinformations-Kampagnen – was sich zunehmend gegen öffentliche Einrichtungen richtet.

Für Unternehmen und Behörden besonders von Bedeutung ist jedoch, dass die Angreifenden seit 2021 sowohl an Skill-Level wie auch Aggressivität und Agilität gewonnen haben. Je besser Organisationen Cybersecurity-Programme und damit auch ihre Verteidigung an die Bedrohungslage angepasst haben, umso mehr zwangen sie damit Angreifende zu neueren Angriffsvektoren, bis hin zur Entwicklung von neuen, unbekannten Zeroday-Exploits und mehr. Gleichzeitig werden die Hackergruppen ständig agiler, benennen sich um und gruppieren sich fortlaufend neu, was die Attribuierung (die Zuordnung eines Angriffs zu Personen) weiter erschwert.

Fortschreitende Professionalisierung der Angreifer

Damit nicht genug: Das Hacker-as-a-Service-Modell gewinnt weiter an Verbreitung, man professionalisiert sich. Angriffe gelten zunehmend auch der Supply-Chain, Managed Service Providers und nehmen (wie jedes Jahr) vor allem in der anstehenden „Reporting Period“ (der Phase am Ende eines Geschäftsjahres, wo u.U. börsenrelevante Berichte zu erstellen sind) massiv zu.

Neu dagegen ist laut ENISA die Zunahme der hybriden Bedrohungen, die auch durch staatliche Akteure und Software befeuert wird. Als Beispiele nennt die Studie dabei ausdrücklich die von der israelischen Regierung entwickelte Spyware Pegasus, aber auch Phishing und Angriffe auf Dateninfrastrukturen.

Machine Learning und Künstliche Intelligenz

Besonders fatal wirke sich die Professionalisierung der Angriffe aus, weil diese durch den Einsatz von Machine Learning und Künstlicher Intelligenz stark an Qualität gewonnen haben. So gäbe es bereits Bots, die als Deep Fakes agieren, Befehlsketten durcheinanderbrächten aber auch Regierungsinstitutionen mit massenhaften, gefälschten „Fake“-Kommentaren außer Gefecht zu setzen imstande seien.

ENISA gruppiert die typischen Angreifer in vier Kategorien: Staatliche, organisierte Kriminalität (Cybercrime), gewerbliche Hacker („Hacker for Hire“) und Aktivisten. Ziel all dieser Angreifer sei meist unbefugter Zugriff auf Daten und die Unterbrechung der Verfügbarkeit von Diensten (und in vielen Fällen das damit verbundene Erpressen von Lösegeld).

Schwachstellenmanagement schützt

Die einzige sichere Option, die Behörden und Firmen haben, um diesen Angriffen etwas entgegenzustellen ist das Schwachstellenmanagement, mit dem sie die eigene IT-Infrastruktur von außen betrachten, aus dem Blickwinkel einer potenziellen angreifenden Person. Nur so können Sie Sicherheitslücken erkennen und schließen, bevor das einem Angreifer gelingt.

Genau da setzen unsere Schwachstellenmanagement-Produkte an – als Hardware- oder virtuelle Appliance oder im Greenbone Cloud Service. Greenbone entwickelt ein Open Source Vulnerability Management und erlaubt es Anwendern, Schwachstellen in der eigenen Netzwerkinfrastruktur innerhalb von wenigen Schritten aufzuspüren. Unsere Produkte generieren Berichte mit konkreten Handlungsanweisungen, die Sie sofort umsetzen können.

Wir arbeiten streng nach deutschem/europäischem Recht und bieten eine Open-Source-Lösung. Das bedeutet beste Datenschutzkonformität und ist so garantiert frei von Hintertüren.

Greenbone: Langjährige Erfahrung im öffentlichen Sektor:

Seit vielen Jahren bietet Greenbone maßgeschneiderte Produkte für den öffentlichen Sektor, beispielsweise für Anforderungen höherer Sicherheitsstufen (Verschlusssache, VS-NFD und höher).

Auch Netzwerke, die physikalisch von anderen Netzen (auch vom Internet) getrennt sind, können Sie mit Greenbone auf Schwachstellen scannen. Solche durch eine „Luftspalte “ abgetrennte Bereiche kommen in Behörden häufig vor, wenn Netzwerksegmente aufgrund eines besonderem Schutzbedarfes abgetrennt von Internet und dem Rest des Behördennetzes betrieben werden müssen. Greenbones Produkte unterstützen dafür Strict Airgap über spezielle USB-Sticks, aber auch Datendioden. Egal ob Sie bereits über einen Rahmenvertrag mit uns verfügen oder zum ersten Mal Kontakt mit uns aufnehmen, beispielsweise über das Formular auf unserer Webseite: Wir helfen Ihnen gerne weiter. Greenbone kann auf viele Jahre Erfahrung mit Behörden zurückblicken und steht Ihnen jederzeit mit Rat und Tat zur Seite. Kontaktieren Sie uns!

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Kristin Schlosser

Direkte Einbindung von Compliance-Richtlinien über den Greenbone Security Feed

Mithilfe von Compliance-Richtlinien kann ein Unternehmen prüfen, ob alle im System integrierten Komponenten die erforderlichen Vorgaben erfüllen. Durch die steigende Digitalisierung und die damit einhergehende Zunahme neuer Technologien entstehen Chancen, aber auch Risiken. Aus diesem Grund nehmen auch die Anforderungen an die Compliance zu. Mit GOS 20.08 wurden alle Compliance-Richtlinien über den Greenbone Security Feed verfügbar gemacht und vier neue Compliance-Richtlinien hinzugefügt: TLS-Map, BSI TR-03116: Part 4, Huawei Datacom Product Security Configuration Audit Guide und Windows 10 Security Hardening.

Compliance Richtlinien für unterschiedliche Branchen

Was ist überhaupt eine Compliance Richtlinie?

Neben den gesetzlichen Vorgaben haben Unternehmen und Behörden oft auch ihre eigenen Richtlinien, die für die sichere Konfiguration eines Systems zu erfüllen sind. Ziel dabei ist es, für die Informationssicherheit des Unternehmens oder der Behörde zu sorgen, indem die Vertraulichkeit, die Integrität, die Verfügbarkeit und die Authentizität von Informationen sichergestellt wird.

Alle Vorgaben und Richtlinien, die dafür nötig sind, werden in einem Dokument zu einer Richtlinie zusammengefasst.

Auf Basis der einzelnen Kriterien der Richtlinien entwickelt Greenbone Schwachstellentests – grob gesagt: ein Kriterium ergibt einen Schwachstellentest. Diese Tests fasst Greenbone zu Scan-Konfigurationen zusammen.

Solche Scan-Konfigurationen, die Richtlinien von Unternehmen oder Behörden abbilden, werden als Compliance-Richtlinien bezeichnet.

Beispiel: Ein Unternehmen bringt eine Security-Richtlinie mit den folgenden Anforderungen heraus:

  • Version 2 der Software A ist auf dem Zielsystem installiert
  • SSH ist auf dem Zielsystem aktiviert
  • Software B ist nicht auf dem Zielsystem installiert

Greenbone entwickelt für jede der Anforderungen jeweils einen Schwachstellentest, der abfragt, ob die jeweilige Bedingung erfüllt ist.

Die drei Tests werden dann zu einer Compliance-Richtlinie zusammengefasst, die ein Nutzer der Greenbone-Lösungen beim Ausführen eines Schwachstellenscans wählen kann. Während des Scans wird dann geprüft, ob die oben genannten Bedingungen auf dem Zielsystem erfüllt werden.

Neu: Verteilung der Compliance-Richtlinien über den Greenbone Security Feed

Ab GOS 20.08 werden alle standardmäßigen Scan-Konfigurationen, Berichtsformate, Portlisten und Compliance-Richtlinien von Greenbone über den Greenbone Security Feed verteilt.

Dies ermöglicht unter anderem die Veröffentlichung und Verteilung von Scan-Konfigurationen für aktuelle, heiße Schwachstellen-Tests. Früher wurden diese als XML-Dateien für den manuellen Download auf der Greenbone-Download-Website veröffentlicht und mussten vom Nutzer selbst importiert werden – was sehr mühsam war und Raum für Fehler ließ, weshalb eine schnelle Anwendung kaum möglich war.

Doch dies ist nicht der einzige Vorteil. Auch die Fehlerbehebung für den Kunden ist somit viel einfacher und schneller: die Objekte können mit einem einzigen Feed-Update für alle Setups aktualisiert und, falls nötig, gefixt werden.

Zusätzlich zu dieser Neuerung wurde der Greenbone Security Feed um ein paar wichtige Compliance-Richtlinien erweitert.

Mehr Compliance-Richtlinien im Greenbone Security Feed

Dem Greenbone Security Feed wurden im 4. Quartal 2020 vier neue Compliance-Richtlinien hinzugefügt:

  • TLS-Map
  • BSI TR-03116: Part 4
  • Huawei Datacom Product Security Configuration Audit Guide
  • Windows 10 Security Hardening

Über die spezielle Scan-Konfiguration TLS-Map

Hinweis: Bei TLS-Map handelt es sich um eine Scan-Konfiguration für spezielle Scans, die sich von Schwachstellenscans unterscheiden. Aus Gründen der Übersichtlichkeit wird diese spezielle Scan-Konfiguration in diesem Beitrag mit den Compliance-Richtlinien zusammen aufgeführt.

Die spezielle Scan-Konfiguration TLS-Map ist überall dort hilfreich, wo eine gesicherte Kommunikation über das Internet stattfindet. TLS – kurz für Transport Layer Security – ist ein Protokoll für die sichere Übertragung von Daten im Internet. Es ist der Nachfolger von SSL – Secure Sockets Layer –, weshalb beide Protokolle auch heute oft noch synonym verwendet werden. Alle SSL-Versionen und TLS-Versionen vor Version 1.2 sind allerdings seit spätestens 2020 veraltet und somit unsicher.

Das größte Einsatzgebiet von TLS ist die Datenübertragung im World Wide Web (WWW), beispielsweise zwischen einem Webbrowser als Client und einem Server wie www.greenbone.net. Andere Anwendungsgebiete finden sich im E-Mail-Verkehr und bei der Übertragung von Dateien über File Transport Protocol (FTP).

Die spezielle Scan-Konfiguration TLS-Map prüft, ob die erforderliche TLS-Version auf dem Zielsystem vorhanden ist und ob die benötigten Verschlüsselungsalgorithmen – sogenannte Ciphers – angeboten werden.

Über die Compliance-Richtlinie BSI TR-03116: Part 4

Die Technische Richtlinie BSI TR-03116 Kryptographische Vorgaben für Projekte der Bundesregierung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt für Projekte der Bundesregierung zum Einsatz. Das bedeutet, soll ein Bundesprojekt umgesetzt werden, muss die Richtlinie erfüllt werden. Sie besteht aus insgesamt 5 Teilen:

  • Teil 1: Telematikinfrastruktur
  • Teil 2: Hoheitliche Ausweisdokumente
  • Teil 3: Intelligente Messsysteme
  • Teil 4: Kommunikationsverfahren in Anwendungen
  • Teil 5: Anwendungen der Secure Element API

Die Compliance-Richtlinie, die Greenbone entsprechend entwickelt hat, prüft, ob die Inhalte des vierten Teils der Richtlinie erfüllt werden. Dieser Teil enthält Anforderungen für Kommunikationsverfahren.

Die Compliance-Richtlinie BSI TR-03116: Part 4 im Greenbone Security Feed prüft die drei Hauptanforderungen – minimal unterstützte TLS-Version sowie notwendige und nicht legitime Ciphers – der technischen Richtlinie.

 Über die Compliance-Richtlinie Huawei Datacom Product Security Configuration Audit Guide

Compliance-Richtlinien für Huawei-Lösungen befinden sich bereits seit längerer Zeit im Greenbone Security Feed.

Für die folgenden beiden Lösungen hatte Greenbone bereits zuvor Compliance-Richtlinien entwickelt:

  • EulerOS: Linux-Betriebssystem, basierend auf CentOS
    Zugehörige Compliance-Richtlinie: EulerOS Linux Security Configuration
  • GaussDB: Datenbankmanagementsystem (DBMS)
    Zugehörige Compliance-Richtlinie: GaussDB 100 V300R001C00 Security Hardening Guide

Mit einer Compliance-Richtlinie für Huawei Datacom, einer Produktkategorie, die auch Router und Switches mit einem eigenen Betriebssystem umfasst, kommt nun eine dritte Compliance-Richtlinie für von Huawei entwickelte Lösungen hinzu.

Für alle drei Produkte – Huawei Datacom, EulerOS und GaussDB – gibt es Sicherheitskonfigurationen, die von Huawei vorgegeben wurden. Auf deren Basis hat Greenbone Compliance-Richtlinien entwickelt, die die Einhaltung eben jener Sicherheitskonfigurationen prüfen. Die unterschiedlichen Compliance-Richtlinien finden immer dann Anwendung, wenn auf dem Zielsystem die entsprechende Lösung vorhanden ist.

Für Huawei Datacom vertreibt Huawei den Huawei Datacom Product Security Configuration Audit Guide. Die zugehörige, neu entwickelte Compliance-Richtlinie prüft beispielsweise ob die korrekten Versionen von SSH und SNMP auf dem Zielsystem vorhanden ist.

Über die Compliance-Richtlinie Windows 10 Security Hardening

Die Compliance-Richtlinie Windows 10 Security Hardening beinhaltet Schwachstellentests, um die Härtung von Windows 10 nach Industriestandards zu bewerten.

Unter anderem prüft die Compliance-Richtlinie unterschiedliche Passwortvorgaben wie Alter, Länge und Komplexität des Passworts, Vorgaben für das Vergeben von Benutzerrechten und Anforderungen für unterschiedliche Systemdienste.

Jetzt noch schnellere Einbindung von Compliance-Richtlinien mit GOS 20.08

Mit fortschreitender Digitalisierung wachsen in Unternehmen jeder Größe und Branche die Anforderungen an die Compliance.

Durch die direkte Einbindung der Compliance-Richtlinien über den Greenbone Security Feed und der Aufnahme neuer Compliance-Richtlinien, werden Zielsysteme noch effektiver, einfacher und schneller geprüft und somit der Schutz der IT-Infrastruktur erhöht, ohne dass spezielles Compliance-Know-How benötigt wird.

Natürlich arbeiten wir auch weiterhin laufend an neuen Compliance-Richtlinien. Sie dürfen also gespannt sein!

/von